WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!


Pages:     | 1 |   ...   | 3 | 4 || 6 | 7 |   ...   | 15 |

{BLK} {HL NAME = 7 LINK = NO}Таблица 2. Соответствие групповых показателей ИБ совокупности требований ИБ к областям, определенным в разделе 8 СТО БР ИББС1. {/HL} Обозначение группового показателя ИБ Наименование группового показателя ИБ Структурный элемент СТО БР ИББС1. М Обеспечение ИБ при назначении и распределении ролей и обеспечении доверия к персоналу п. 8.2. М Обеспечение ИБ автоматизированных банковских систем на стадиях жизненного цикла п. 8.2. М Обеспечение ИБ при управлении доступом и регистрации п. 8.2. М Обеспечение ИБ средствами антивирусной защиты п. 8.2. М Обеспечение ИБ при использовании ресурсов сети Интернет п. 8.2. М Обеспечение ИБ при использовании средств криптографической защиты информации п. 8.2. М Выполнение правил обеспечения ИБ банковских платежных технологических процессов п. 8.2. М Выполнение правил обеспечения ИБ банковских информационных технологических процессов п. 8.2. {/BLK} 7.3. Частные показатели текущего уровня ИБ отражают отдельные требования ИБ СТО БР ИББС1.0, предъявляемые по каждой из областей. Частные показатели текущего уровня ИБ (показатели М1 ё М8) и метрики приведены в приложении А.

7.4. Оценка частного показателя ИБ (EVMi.j) определяется посредством экспертного оценивания. Для принятия решения следует проводить анализ нормативных, распорядительных, программных и других документов организации БС РФ, имеющих отношение к проверяемым областям ИБ, и уточнять полученную информацию с помощью опросов сотрудников организации БС РФ и наблюдения за деятельностью.

Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о невыполнении соответствующих требований ИБ, то оценке EVMi.j присваивается значение, равное нулю.

Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о частичном выполнении соответствующих требований ИБ, то оценка EVMi.j по решению аудиторской группы может быть установлена равной 0,25; 0, или 0,75 (в зависимости от степени выполнения требований ИБ).

Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о полном выполнении соответствующих требований ИБ, то оценке EVMi.j присваивается значение, равное единице.

7.5. Оценка группового показателя (EVMi) вычисляется из оценок входящих в него частных показателей (EVMi.j) с учетом коэффициентов значимости ai.j:

где j = 1 ё Ni;

Ni — количество частных показателей ИБ, входящих в групповой показатель Mi;

i = 1 ё 8.

Коэффициенты значимости ai.j для каждого частного показателя приведены в приложении А.

7.6. Оценивание частных показателей в рамках групповых показателей М1ёМ необходимо осуществлять по результатам анализа выполнения соответствующих требований СТО БР ИББС1.0 применительно к организации БС РФ в целом, включая банковский платежный технологический процесс и банковский информационный технологический процесс.

7.7. Оценки EVMi.j и EVMi, полученные в результате оценивания групповых показателей ИБ М1ёМ8, вносятся в соответствующие графы представленных в приложении А форм.

7.8. Итоговая оценка EV1, отражающая текущий уровень ИБ организации БС РФ, определяется по наименьшему значению из оценок уровней ИБ банковского платежного технологического процесса и банковского информационного технологического процесса.

7.9. Оценка уровня ИБ банковского платежного технологического процесса вычисляется по формуле:

Оценка уровня ИБ банковского информационного технологического процесса вычисляется по формуле:

7.10. Оценки EVMi, полученные в результате оценивания групповых показателей ИБ М1ёМ8, отображаются на круговой диаграмме (см. раздел 10) в секторах с 1го по 8й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.

7.11. Оценка EV1 отображается на круговой диаграмме (см. раздел 10) в секторах с 1го по 8й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению EV2.



{HL NAME = 4 LINK = NO}8. Оценка процессов системы менеджмента информационной безопасности организации банковской системы Российской Федерации {/HL} 8.1. Групповые показатели по направлению оценки “менеджмент ИБ организации” оцениваются по стадиям циклической модели менеджмента ИБ. Групповые показатели М9ёМ13 предназначены для оценки процессов планирования системы менеджмента ИБ (СМИБ). Групповые показатели М14ёМ18 предназначены для оценки процессов реализации СМИБ. Групповые показатели М19ёМ23 предназначены для оценки процессов проверки СМИБ. Групповые показатели М24ёМ27 предназначены для оценки процессов совершенствования СМИБ.

8.2. Таблица 3 отражает соответствие между структурными элементами СТО БР ИББС1.0 и групповыми показателями ИБ, предназначенными для оценивания процессов менеджмента ИБ. Наименования групповых показателей соответствуют наименованиям процессов СМИБ организации БС РФ, установленных в СТО БР ИББС1.0.

{BLK} {HL NAME = 7 LINK = NO}Таблица 3. Соответствие групповых показателей ИБ процессам СМИБ, представленным в СТО БР ИББС1. {/HL} Обозначение группового показателя ИБ Наименование группового показателя ИБ Структурный элемент СТО БР ИББС1. Планирование СМИБ М Определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ элемент перечисления а) раздела 9. М Анализ и оценка рисков ИБ, варианты обработки рисков ИБ элемент перечисления б) раздела 9. М Определение/уточнение политики ИБ организации БС РФ элемент перечисления в) раздела 9. М Выбор/уточнение целей ИБ и защитных мер элемент перечисления г) раздела 9. М Принятие руководством организации БС РФ остаточных рисков и решения о реализации и эксплуатации/совершенствовании СМИБ элемент перечисления д) раздела 9.1, раздел 9. Реализация и эксплуатация СМИБ М Разработка плана обработки рисков ИБ элемент перечисления а) раздела 9. М Реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СМИБ элемент перечисления б) раздела 9. М Реализация программ по обучению и осведомлению ИБ элемент перечисления в) раздела 9. М Обнаружение и реагирование на инциденты безопасности элемент перечисления г) раздела 9. М Обеспечение непрерывности бизнеса и восстановления после прерываний элемент перечисления д) раздела 9.2, раздел 9. Проверка (мониторинг и анализ) СМИБ М Мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ элемент перечисления а) раздела 9.3, раздел. 10. М Анализ эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ элемент перечисления б) раздела 9. М Внутренний аудит СМИБ элемент перечисления в) раздела 9.3, раздел М Анализ СМИБ со стороны высшего руководства элемент перечисления г) раздела 9. М Внешний аудит СМИБ элемент перечисления д) раздела 9.3, раздел Совершенствование СМИБ М Реализация тактических улучшений в СМИБ элемент перечисления а) раздела 9. М Реализация стратегических улучшений СМИБ. Использование опыта элемент перечисления б) раздела 9. М Информирование об изменениях и их согласование с заинтересованными сторонами элемент перечисления в) раздела 9. М Оценка достижения поставленных целей элемент перечисления г) раздела 9. {/BLK} 8.3. Частные показатели по направлению оценки “менеджмент ИБ организации” (показатели М9ёМ27) и метрики приведены в приложении А.

8.4. Оценка частного показателя ИБ (EVMi.j) определяется посредством экспертного оценивания. Для принятия решения следует производить анализ нормативных, распорядительных, программных и других документов организации БС РФ, имеющих отношение к проверяемым областям ИБ, и уточнять полученную информацию с помощью опросов сотрудников организации БС РФ и наблюдения за деятельностью.

Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о невыполнении соответствующих требований ИБ (отсутствии процессов менеджмента), то оценке EVMi.j присваивается значение, равное нулю.





Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о частичном выполнении соответствующих требований ИБ (частичной реализации процессов менеджмента), то оценка EVMi.j по решению аудиторской группы может быть установлена равной 0,25; 0,5 или 0,75 (в зависимости от степени выполнения требований ИБ или реализации процессов менеджмента).

Если в результате оценивания частного показателя Mi.j аудиторской группой сделан вывод о полном выполнении соответствующих требований ИБ (реализации процессов менеджмента), то оценке EVMi.j присваивается значение, равное единице.

8.5. Оценка группового показателя (EVMi) вычисляется из оценок входящих в него частных показателей (EVMi.j) с учетом коэффициентов значимости ai.j:

где j = 1 ё Ni;

Ni — количество частных показателей ИБ, представляющих групповой показатель Mi;

i = 9 ё 27.

Коэффициенты значимости ai.j для каждого частного показателя приведены в приложении А.

8.6. Оценки EVMi.j и EVMi, полученные в результате оценивания групповых показателей ИБ М9ёМ27, вносятся в соответствующие графы представленных в приложении А форм.

8.7. Оценка EV2ПЛ, определяющая уровень процессов планирования СМИБ организации БС РФ, вычисляется по формуле:

8.8. Оценка EV2Р, определяющая уровень процессов реализации и эксплуатации СМИБ организации БС РФ, вычисляется по формуле:

8.9. Оценка EV2ПР, определяющая уровень процессов проверки СМИБ организации БС РФ, вычисляется по формуле:

8.10. Оценка EV2С, определяющая уровень процессов совершенствования СМИБ организации БС РФ, вычисляется по формуле:

8.11. Итоговая оценка EV2, отражающая уровень процессов СМИБ организации БС РФ, определяется по наименьшему значению из оценок EV2ПЛ, EV2Р, EV2ПР и EV2С.

8.12. Оценки EVMi, полученные в результате оценивания групповых показателей ИБ М9ёМ27, отображаются на круговой диаграмме (см. раздел 10) в секторах с 9го по 27й дугами, отстающими от центра круговой диаграммы на величину, соответствующую значению этих оценок.

8.13. Оценка EV2 отображается на круговой диаграмме (см. раздел 10) в секторах с 9го по 27й дугой, отстающей от центра круговой диаграммы на величину, соответствующую значению EV2.

{HL NAME = 4 LINK = NO}9. Оценка уровня осознания информационной безопасности организации банковской системы Российской Федерации {/HL} 9.1. Уровень осознания ИБ организации БС РФ определяется с помощью групповых и частных показателей ИБ, позволяющих оценить степень выполнения (соблюдения) общих и специальных принципов обеспечения ИБ организации БС РФ, определенных в разделе 6 СТО БР ИББС1.0:

— своевременность обнаружения проблем;

— прогнозируемость развития проблем;

— оценка влияния проблем на бизнесцели;

— адекватность защитных мер;

— эффективность защитных мер;

— использование опыта при принятии и реализации решений;

— непрерывность принципов безопасного функционирования;

— контролируемость защитных мер;

— определенность целей;

— знание своих клиентов и служащих;

— персонификация и адекватное разделение ролей и ответственности;

— адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки;

— доступность услуг и сервисов;

— наблюдаемость и оцениваемость обеспечения ИБ.

9.2. Групповые показатели М28ёМ32 предназначены для оценки уровня осознания ИБ.

Они отражают общие принципы безопасного функционирования и специальные принципы обеспечения ИБ организации БС РФ, определенные в разделе 6 СТО БР ИББС1.0.

Таблица 4 отражает соответствие между структурными элементами СТО БР ИББС1.0, содержащими принципы ИБ, и групповыми показателями ИБ, предназначенными для оценивания уровня осознания ИБ.

Pages:     | 1 |   ...   | 3 | 4 || 6 | 7 |   ...   | 15 |










© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.